Re: Migrer un système debian vers un système de fichiers chiffré luks
Le 24/08/18 à 14:43, dethegeek <dethegeek@gmail.com> a écrit :
> Bonjour
>
> Le vendredi 24 août 2018 à 14:31 +0200, Pierre Malard a écrit :
> > > Le 24 août 2018 à 10:34, Daniel Caillibaud <ml@lairdutemps.org> a
> > > écrit :
> > >
> > > Le 23/08/18 à 16:38, dethegeek <dethegeek@gmail.com> a écrit :
> > > > bonjour
> > > >
> > > > J'ai la chance d'avoir pris un réflexe: ne pas allouer tout
> > > > l'espace
> > > > disque avec mes volumes logiques. De plus mes disques font 2 To
> > > > et j'ai
> > > > des 4 To qui attendent la fin de l'opération pour aller dans une
> > > > machine de sauvegarde. L'espace disque n'est pas un souci.
> > >
> > > Dans ce cas, tu peux comme le suggérait Pierre créer une partition
> > > et tout
> > > copier
> > > - si /boot n'est pas séparé, créer une petite partition /boot
> > > non-chiffrée, y copier ton /boot actuel et l'ajouter à ton fstab
> > > actuel
> > > (prévoit quand même ~200Mo mini, sinon ça peut se retrouver plein
> > > dès que
> > > tu as plusieurs noyaux installés)
> > > - créer une partition chiffrée (ou deux si tu veux séparer /home)
> > > - la monter dans ta debian actuelle
> > > - rsync -ax / /partitionChiffreeMontee
> >
> > Personnellement, j’ajouterai la copie d’éventuelles ACL (-A),
> > exclurait les inutiles dans ce cas (—exclude), afficherait les
> > statistiques à la fin (—stats) et, histoire de mettre les points sur
> > les « i » j’ajouterai un « / » à la fin. Ce qui donnerai après avoir
> > copié le contenu de « /boot » sur la nouvelle partition :
> >
>
> Je suis plus partisan d'un miroir lvm pour cette étape, on peut
> "mirrorer", puis "splitter" le mirror en 2 lv distincts. J'ai testé.
> C'est pour moi infiniment plus sûr qu'un rsync, bien que j'aime
> beacuopup cet outil.
Bonne idée, ça devrait pouvoir marcher en déplaçant le lv cloné dans le vg
d'un pv chiffré (ou étendre ton vg existant en ajoutant le pv chiffré,
déplacer les lv clonés sur le pv chiffré et quand tout marchera bien
supprimer les lv d'origine qui servent plus et retirer le pv non chiffré du
vg).
> Ma difficulté réside dans la config manuelle de ceryptsetup, pour être
> au plus proche d'un crytpsetup fait via une install fraiche.
Si ça peut t'aider, chez moi j'ai une partition /dev/sda5 de type
crypto_LUKS avec l'uuid xxxx (`blkid /dev/sda5` donne l'uuid), et
dans /etc/crypttab j'ai une seule ligne
sda5_crypt UUID=xxx none luks
/dev/mapper/sda5_crypt est le pv dans lequel j'ai mes 3 lv root, swap et
home
Je sais pas pourquoi l'installeur avait créé une partition étendue (j'ai
juste sda1 qui est /boot non chiffré, l'installeur a créé la partition
étendue sda5 dans la partition primaire sda2, y'en a pas d'autres sur ce
disque).
Ça va te demander de fouiller un peu la doc (man cryptsetup est un bon
début), c'est instructif mais si ça marche pas rapidement et que tu
es pressé, ça peut être plus rapide avec
- nouvelle install minimale
- install de tous tes paquets actuels
- répercussion de tes modifs de l'ancien /etc par rapport aux configs par
défaut
- copie intégrale de /home
--
Daniel
Ce qui est simple est faux ; ce qui est compliqué est inutilisable.
Paul Valéry
Reply to: